ClickFix：基于剪贴板的社会工程的威胁日益严重

在一份详细的报告中，Proofpoint 的研究人员揭示了一种被称为 ClickFix 的独特社交工程方法令人震惊的崛起，这种方法利用人类行为，通过自找麻烦的方式传播恶意软件。ClickFix最初于2024年初在访问代理TA571和一个名为ClearFake的威胁集群的活动中被发现，现在已成为网络安全领域的一个普遍威胁。

ClickFix 利用对话框中的虚假错误信息诱骗用户运行恶意 PowerShell 命令。这些信息看似真实，模仿软件错误或更新提示。例如，用户可能会看到通过复制和粘贴所提供的命令来 “修复 ”问题的说明，这些命令可以直接输入 PowerShell 或 Windows “运行 ”对话框。用户并不知道，这一简单的操作可能会释放 AsyncRAT、DarkGate 或 Lumma Stealer 等危险的恶意软件。

Proofpoint 强调指出：“ClickFix 技术被多种不同的威胁行为者使用，可以通过被入侵的网站、文档、HTML 附件、恶意 URL 等发起。”

ClickFix 的多功能性在于它能够伪装成各行业和平台的合法操作。最近的活动包括

• 虚假验证码验证： 在针对乌克兰政府实体的活动中，ClickFix 将自己伪装成验证码检查。用户在验证其人性的幌子下被诱骗运行 PowerShell 命令。Proofpoint 将此与俄罗斯间谍行为者联系起来，指出 GitHub 上的开源 reCAPTCHA Phish 工具包在这些攻击中起到了重要作用。
• 假冒可信平台： 10 月中旬的一次攻击活动针对 GitHub 用户发布了虚假的安全漏洞通知。恶意电子邮件将受害者引向使用 ClickFix 发送 Lumma Stealer 的伪造 GitHub 网站。
• 特定语言攻击： 一个德语攻击活动利用伪装成流行电子商务平台 Ricardo 更新的 ClickFix 引诱瑞士组织。受害者被引向一个执行 JavaScript 的登陆页面，以下载恶意软件，很可能是 AsyncRAT 或 PureLog Stealer。

ClickFix 攻击者不断改进方法以逃避检测。2024 年 9 月，Proofpoint 观察到 ClickFix 攻击活动使用 HTML 附件，这些附件会反转网页源代码中的字符串，从而使分析师的审查复杂化。此外，以 ChatGPT 为主题的恶意广告活动体现了 ClickFix 的适应性，它利用流行趋势来引诱受害者。

乌克兰语诱饵，声称与所要求的所谓信息有关 | 图片： Proofpoint

Proofpoint 的可视性表明，ClickFix 活动已经影响了全球 300 多个组织。虽然许多操作似乎是出于经济动机，但其他操作则暗示了间谍目的，例如与针对乌克兰的 UAC-0050 相关的操作。

尽管 ClickFix 被广泛采用，但它并不总是归咎于单一的威胁行为者或组织。Proofpoint 指出：”大多数观察到的 ClickFix 活动都不是由已知的威胁行为者或组织实施的。